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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

(S) Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk 

@ Die Ertlndung betrifft ein Verfahren zur Reduktion der 
Verbreitung von Computerviren in einem elektronischen 
Mail-Netzwerk. 

In einem Mailserver mit einer Vielzahl angeschlossener 
Mailteilnehmer-Computer ist ein Verfahren installiert, mit 
dem an die Teilnehmer nacheinander eingehende oder 
von den Teilnehmern nacheinander ausgehende Mails 
auf bestimmte Gemeinsamkeiten gepriift warden und in 
Abhangigkeit von festgestellten Gemeinsamkeiten ent- 
weder die Mails bestimmungsgemafc automatisch wei- 
tergeleitet oder bis zum Eintreten eines anderen Kriteri- 
ums zurtickgehalten werden. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zur Reduktion 
der Verbreitung von Computerviren in eineni elektronischen 
Mail-Netzwerk. 5 

Stand der Technik 

[0002] In der heutigen Zeit elektronischer Mails und welt- 
weiter Vernetzung von Computern bilden viele Formen von 10 
sogenannten Computerviren eine groBe Gefahr fur Firmen, 
die ihre in Netzwerken verbundenen Computer auch mit der 
elektronischen AuBenwelt verbunden betreiben. An den 
Verbindungsstellen zur elektronischen AuBenwelt, wie zum 
Beispiel dem Internet, werden spezielle Computer als soge- is 
nannten Firewalls betrieben, die u. a. versuchen, mit elek- 
tronischen Viren behaftete Mails von auBen herauszufiltern 
bevor diese die firmeneigenen Computer erreichen konnen. 
Die Erkennung eines Virus erfolgt durch spezielle Software, 
die jeweils vom Hersteller auf dem Stand der neuesten Vi- 20 
ren-Pattern gehalten werden muB. 

[0003] Zwischen Auftreten eines neuen Virus und der Er- 
zeugung und Verbreitung eines neuen Viren-Patterns ver- 
geht jedoch eine gewisse Zeit, in der der Virus erhebliche 
Schaden anrichten kann. Die Methode des Viren-Erkennens 25 
im Firewall-Computer ist somit grundsatzlich anfallig. 
Denn zur Herstellung eines Viren-Patterns muB zunachst. ein 
Virus bekannt werden, was ublicherweise schon mit einem 
Schadensfall verbunden ist. Wird ein Virus vom Urheber ge- 
schickt und breit. gleichzeitig in Firmennetzwerke einge- 30 
schleust, so wird die Schadensbegrenzung ein Wettlauf mit 
der Zeit zwischen der Viren ausbreitung und dem Erstellen 
und Installieren von Erkennungsprogrammen. Durch beson- 
dere Strukturen kann der Virus innerhalb von wenigen Stun- 
den, die die Erstellung eines Erkennungsmusters bendtigt, 35 
erhebliche Schaden anrichten, indem er die befallenen Com- 
puter zum Beispiel zur schneeballartigen Aussendung von 
Kopicn seiner sclbst an allc in dicscm Computer gcspcichcr- 
ten Mail-Adressen veranlaBt. 

40 

Erfindung 

[0004] Ziel dieser Erfindung ist die Begrenzung bzw. Un- 
terbrechung der schneeballartigen Weiterverteilungskette 
des Virus. 45 
[0005] Die Erfindung wird durch die im Anspruch 1 ange- 
gebenen Merkmale gelost. 

[0006] Vorteilhafte Weiterbildungen sind in den Unteran- 
spriichen wiedergegeben. 

[0007] ErfindungsgemaB wird in einem Mailserver mit ei- 50 
ner Vielzahl angeschlossener Mailteilnehmer-Computer ein 
Verfahren installiert, mit dem an die Teilnehmer nacheinan- 
der eingehende oder von den Teilnehmern nacheinander 
ausgehende Mails auf bestirnmte Gemeinsamkeiten gepriift 
werden und in Abhangigkeit von festgestellten Gemeinsam- 55 
keiten entweder die Mails bestimmungsgemaB automatisch 
weitergeleitet oder bis zum Eintreten eines anderen Kriteri-: 
ums zuruckgehalten werden. 

[0008] Als Kriterium der festgestellten Gemeinsamkeit 
kann das Auftreten der selben Betreffzeile in einer Mehrzahl 60 
von Mails sein, das Auftreten des selben Inhaltstextes, eines 
gleichen Attachments und/oder die selbe oder zeitnahe Ab- 
sende- oder Empfangszeit gewahlt werden. 
[0009] In dem Fall, dass eine elektronische Mail aufgrund 
einer oder mehrerer dieser Kriterien automatisch zuriickge- 65 
halten wird, kann eine Mail-Riickfrage durch den Mailser- 
ver dem absendenden Mailteilnehmer zugeleitet werden, ob 
dieser alle mit erheblichen Gemeinsamkeiten versehene 
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Mails wirklich verschicken will und dieser absendende 
Mailteilnehmer darauf mit einer expliziten Bestatigung ant- 
wortet. 

[0010] Als eine "explizite Bestatigung" des absendenden 
Mailteilnehmers kann vorzugsweise die Eingabe einer Ken- 
nung oder eines Passwortes dienen. 

[0011] Alternativ oder als ein weiteres "anderes Krite- 
rium" kann eine Mail-Riickfrage bei dem Administrator des 
betreffenden Netzwerkes sein, ob dieser alle mit erheblichen 
Gemeinsamkeiten versehenen Mails wirklich verschickt se- 
hen will und dieser Administrator darauf mit einer explizi- 
ten Bestatigung antwortet. 

[0012] Vorzugsweise konnen solche gekennzeichneten 
elektronischen Mails auch nach Ablauf einer verzogernden 
Zeit weitergeleitet werden. Die Zeitverzogerung sollte dann 
vorteilhaft so groB sein, daB auf eine Viren warnung von au- 
Berhalb reagiert werden kann oder in einen vorgegebenen 
Zeitrahmen fallen, zum Beispiel in die normale Arbeitszeit 
des Administrators. 

Patentanspruche 

1 . Verfahren zur Reduktion der Verbreitung von Com- 
puterviren in einem elektronischen Mail-Netzwerk mit 
einem Mailserver und einer daran angeschlossenen 
Vielzahl von Mailteilnehmer-Computern durch an die 
Teilnehmer nacheinander eingehende oder von den 
Teilnehmern nacheinander ausgehende Mails, da- 
durch gekennzeichnet, dass die an die Teilnehmer 
nacheinander eingehenden oder von den Teilnehmern 
nacheinander ausgehenden Mails auf bestimmte Ge- 
meinsamkeiten gepriift werden und in Abhangigkeit 
von festgestellten Gemeinsamkeiten entweder die elek- 
tronischen Mails bestimmungsgemaB automatisch wei- 
tergeleitet werden oder bis zum Eintreten eines anderen 
Kriteriums zuruckgehalten werden. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass als Kriterium der festgestellten Gemeinsam- 
keit das Auftreten der selben Betreff-Zeile in einer 
Mehrzahl von Mails, das Auftreten des selben Inhait- 
stextes, eines gleichen Attachments und/oder die selbe 
oder zeitnahe Absende- oder Empfangszeit verwendet 
wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, dass in dem Fall, dass eine elektronische Mail 
aufgrund einer oder mehrerer dieser Kriterien automa- 
tisch zuruckgehalten wird, eine Mail-Riickfrage durch 
den Mailserver dem absendenden Mailteilnehmer zu- 
geleitet wird. 

4. Verfahren nach Anspruch 3, dadurch gekennzeich- 
net, dass diese mit erheblichen Gemeinsamkeiten ver- 
sehenen Mails durch den Mailserver verschickt wer- 
den, wenn der absendende Mailteilnehmer die Mail- 
Riickfrage durch den Mailserver mit einer expliziten 
Bestatigung bestatigt. 

5. Verfahren nach Anspr-uch 4, dadurch gekennzeich- 
net, dass als eine "explizite Bestatigung" des absenden- 
den Mailteilnehmers vorzugsweise die Eingabe einer 
Kennung oder eines Passwortes dient. 

6. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass als ein weiteres anderes Kriterium eine Mail- 
Riickfrage bei dem Administrator des betreffenden 
Netzwerkes durchgefuhrt wird, ob dieser alle mit er- 
heblichen Gemeinsamkeiten versehenen Mails wirk- 
lich verschickt sehen will und dieser Administrator 
darauf mit einer expliziten Bestatigung antwortet. 

7. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass solche gekennzeichneten elektronischen 
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Mails nach Ablauf einer verzogernden Zeit weiterge- 
leitet werden. 

8. Verfahren nach Anspruch 7, dadurch gekennzeich- 
net, dass die Zeitverzogerung in einen vorgegebenen 
Zeitrahnien fallt, vorzugsweise in die nonnale Arbeits- 
zeit des Administrators. 
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